交換機(jī)不是被設(shè)計(jì)用來(lái)作安全設(shè)備的，其功能仍是以提高網(wǎng)絡(luò)性能為主。如果要將交換機(jī)納入安全機(jī)制的一部分，前提是首先要對(duì)交換機(jī)進(jìn)行正確的配置，其次交換機(jī)的制造商要對(duì)交換機(jī)軟件的基礎(chǔ)標(biāo)準(zhǔn)有著全面理解并徹底實(shí)現(xiàn)了這些標(biāo)準(zhǔn)。

如果對(duì)網(wǎng)絡(luò)安全有著嚴(yán)格的要求，還是不要使用共享的交換機(jī)，應(yīng)該使用專門的交換機(jī)來(lái)保證網(wǎng)絡(luò)安全。如果一定要在不可信的網(wǎng)絡(luò)和可信的用戶之間共享一個(gè)交換機(jī)，那么帶來(lái)的只能是安全上的災(zāi)難。

VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能，這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī)。但是交換機(jī)的設(shè)計(jì)者們?cè)诎堰@種隔離功能加入到產(chǎn)品之中時(shí)，優(yōu)先考慮的并不是安全問(wèn)題。VLAN的工作原理是限制和過(guò)濾廣播業(yè)務(wù)流量，不幸的是，VLAN是依靠軟件和配置機(jī)制而不是通過(guò)硬件來(lái)完成這一任務(wù)的。

最近幾年，一些防火墻已經(jīng)成為VLAN設(shè)備，這意味著可以制定基于包標(biāo)簽的規(guī)則來(lái)使一個(gè)數(shù)據(jù)包轉(zhuǎn)到特定的VLAN。然而，作為VLAN設(shè)備的防火墻也為網(wǎng)頁(yè)寄存站點(diǎn)增加了很多靈活的規(guī)則，這樣防火墻所依賴的這些標(biāo)簽在設(shè)計(jì)時(shí)就不是以安全為準(zhǔn)則了。交換機(jī)之外的設(shè)備也可以生成標(biāo)簽，這些標(biāo)簽可以被輕易地附加在數(shù)據(jù)包上用來(lái)欺騙防火墻。

VLAN的工作原理究竟是怎樣的？VLAN又有著什么樣的安全性上的優(yōu)點(diǎn)呢？如果決定使用VLAN作為安全體系的一部分，怎樣才能最大限度地避免VLAN的弱點(diǎn)呢？

分區(qū)功能

“交換機(jī)”一詞最早被用來(lái)描述這樣一種設(shè)備，這種設(shè)備將網(wǎng)絡(luò)業(yè)務(wù)在被稱之為“端口”的網(wǎng)絡(luò)接口間進(jìn)行交換。就在不久以前，局域網(wǎng)的交換機(jī)被稱作“橋接器”。現(xiàn)在，即使是與交換機(jī)相關(guān)的IEEE標(biāo)準(zhǔn)中也不可避免地用到“橋接器”這一術(shù)語(yǔ)。

橋接器用來(lái)連接同一局域網(wǎng)上不同的段，這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò)。橋接器軟件通過(guò)檢測(cè)收到數(shù)據(jù)包中所含的MAC地址來(lái)獲悉哪個(gè)端口聯(lián)接到哪個(gè)網(wǎng)絡(luò)設(shè)備。最初，橋接器將所有收到的數(shù)據(jù)包發(fā)送到每個(gè)端口，經(jīng)過(guò)一段時(shí)間以后，橋接器通過(guò)建立生成樹和表的方法獲悉如何將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口。這些生成樹和表將MAC地址映射到端口的工作，是通過(guò)一些選擇正確網(wǎng)絡(luò)接口和避免回路的算法來(lái)完成的。通過(guò)將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口，橋接器減少了網(wǎng)絡(luò)業(yè)務(wù)流量。可以將橋接器看作是連接兩條不同道路的高速公路，在高速公路上只通過(guò)兩條道路間必要的交通流量。

盡管橋接器從整體上減少了網(wǎng)絡(luò)業(yè)務(wù)流量，使得網(wǎng)絡(luò)可以更加高效地運(yùn)行。橋接器仍然需要對(duì)所有端口進(jìn)行廣播數(shù)據(jù)包的發(fā)送。在任何局域網(wǎng)中，廣播的含義是：一個(gè)消息廣播發(fā)送給局域網(wǎng)內(nèi)所有系統(tǒng)。ARP（地址解析協(xié)議）包就是廣播信息的一個(gè)例子。

隨著端口數(shù)目和附加管理軟件數(shù)目的增多，橋接器設(shè)備的功能變得越來(lái)越強(qiáng)。一種新的功能出現(xiàn)了：橋接器具有了分區(qū)功能，可被分成多個(gè)虛擬橋。當(dāng)通過(guò)這種方式進(jìn)行分區(qū)時(shí)，廣播信息將被限制在與虛擬橋和對(duì)應(yīng)的VLAN的那些端口上，而不是被發(fā)送到所有的端口。

將廣播限制在一個(gè)VLAN中并不能夠阻止一個(gè)VLAN中的系統(tǒng)訪問(wèn)與之連接在同一橋接器而屬于不同VLAN的系統(tǒng)。但要記住，ARP廣播被用來(lái)獲得與特定IP對(duì)應(yīng)的MAC地址，而沒有MAC地址，即使在同一網(wǎng)絡(luò)中的機(jī)器也不能相互通信。

Cisco網(wǎng)站上描述了在兩種情況下，數(shù)據(jù)包可以在連接于同一交換機(jī)的VLAN中傳送。在第一種情況下，系統(tǒng)在同一VLAN中建立了TCP/IP連接，然后交換機(jī)被重新設(shè)置，使得一個(gè)交換機(jī)的端口屬于另一個(gè)VLAN。通信仍將繼續(xù)，因?yàn)橥ㄐ烹p方在自己的ARP緩沖區(qū)中都有對(duì)方的MAC地址，這樣橋接器知道目的MAC地址指向哪個(gè)端口。在第二種情況下，某人希望手動(dòng)配制VLAN，為要訪問(wèn)的系統(tǒng)建立靜態(tài)ARP項(xiàng)。這要求他知道目標(biāo)系統(tǒng)的MAC地址，也許需要在物理上直接訪問(wèn)目標(biāo)系統(tǒng)。

這兩種情況中所描述的問(wèn)題能夠通過(guò)使用交換機(jī)軟件來(lái)得到改善，這些軟件的功能是消除數(shù)據(jù)包在傳送時(shí)所需要的信息。在Cisco的高端交換機(jī)中，將每個(gè)VLAN所存在的生成樹進(jìn)行分離。其他的交換機(jī)要么具有類似的特點(diǎn)，要么能被設(shè)置成可以對(duì)各個(gè)VLAN里的成員的橋接信息進(jìn)行過(guò)濾。

鏈路聚合

多個(gè)交換機(jī)可以通過(guò)配制機(jī)制和在交換機(jī)間交換數(shù)據(jù)包的標(biāo)簽來(lái)共享同一VLAN。你可以設(shè)置一個(gè)交換機(jī)，使得其中一個(gè)端口成為鏈路，在鏈路上可以為任何VLAN傳送數(shù)據(jù)包。當(dāng)數(shù)據(jù)包在交換機(jī)之間傳遞時(shí)，每個(gè)數(shù)據(jù)包被加上基于802.1Q協(xié)議的標(biāo)簽，802.1Q協(xié)議是為在橋接器間傳送數(shù)據(jù)包而設(shè)立的IEEE標(biāo)準(zhǔn)。接收交換機(jī)消除數(shù)據(jù)包的標(biāo)簽，并將數(shù)據(jù)包發(fā)送到正確的端口，或在數(shù)據(jù)包是廣播包的情況下發(fā)送到正確的VLAN。

這些四字節(jié)長(zhǎng)的802.1Q被附加在以太網(wǎng)數(shù)據(jù)包頭中，緊跟在源地址后。前兩個(gè)字節(jié)包含81 00，是802.1Q標(biāo)簽協(xié)議類型。后兩個(gè)字節(jié)包含一個(gè)可能的優(yōu)先級(jí)，一個(gè)標(biāo)志和12比特的VID（VLAN Identifier）。VID的取值在0到4095之間，而0和4095都作為保留值。VID的默認(rèn)值為1，這個(gè)值同時(shí)也是為VLAN配置的交換機(jī)的未指定端口的默認(rèn)值。

根據(jù)Cisco交換機(jī)的默認(rèn)配置，鏈路聚合是推薦的配置。如果一個(gè)端口發(fā)現(xiàn)另一個(gè)交換機(jī)也連在這個(gè)端口上，此端口可以對(duì)鏈路聚合進(jìn)行協(xié)商。默認(rèn)的鏈路端口屬于VLAN1，這個(gè)VLAN被稱作該端口的本地VLAN。管理員能夠?qū)㈡溌范丝谥付ńo任何VLAN。

可以通過(guò)設(shè)置鏈路端口來(lái)防止這種VLAN間數(shù)據(jù)包的傳送，將鏈路端口的本地VLAN設(shè)置成不同于其他任何VLAN的VID。記住鏈路端口的默認(rèn)本地VLAN是VID 1。可以選擇將鏈路端口的本地VLAN設(shè)置為1001，或者任何交換機(jī)允許的且不被其他任何VLAN所使用的值。

防火墻和VLAN

知道了交換機(jī)如何共享VLAN信息之后，就可以更準(zhǔn)確地評(píng)價(jià)支持VLAN的防火墻。支持VLAN的防火墻從支持VLAN的交換機(jī)那里獲得頭部帶有802.1Q標(biāo)簽的數(shù)據(jù)包，這些標(biāo)簽將被防火墻展開，然后用來(lái)進(jìn)行安全規(guī)則的檢測(cè)。盡管到目前為止，我們只討論了以太網(wǎng)的情況，802.1Q標(biāo)簽同樣適用于其他類型的網(wǎng)絡(luò)，比如ATM 和FDDI。

802.1Q標(biāo)簽并不能提供身份驗(yàn)證，它們只不過(guò)是交換機(jī)用來(lái)標(biāo)志從特定VLAN來(lái)的特定數(shù)據(jù)包的一種方式。如同許多年來(lái)人們偽造IP源地址一樣，VLAN標(biāo)簽同樣可以被偽造。最新的Linux操作系統(tǒng)帶有對(duì)工作于VLAN交換機(jī)模式的支持，可以生成本地系統(tǒng)管理員可以選擇的任意VLAN標(biāo)簽。

安全使用802.1Q標(biāo)簽的關(guān)鍵在于設(shè)計(jì)這樣一種網(wǎng)絡(luò)：交換機(jī)鏈路連接到防火墻接口，而基于VLAN標(biāo)簽的安全檢測(cè)將在防火墻接口進(jìn)行。如果有其他的線路能夠到達(dá)防火墻的接口，偽造VLAN標(biāo)簽的可能性就會(huì)增大。交換機(jī)本身必須被正確配置，進(jìn)行鏈路聚合的鏈路端口要進(jìn)行特殊配置，然后加入到非默認(rèn)VID中。

在任何關(guān)于交換機(jī)的討論中，保護(hù)對(duì)交換機(jī)設(shè)備的管理權(quán)限這一結(jié)論是永遠(yuǎn)不變的。交換機(jī)和其他網(wǎng)絡(luò)設(shè)備一樣可以從三種途徑進(jìn)行管理：Telnet、HTTP和SNMP。關(guān)掉不使用的管理途徑，在所使用的管理途徑上也要加上訪問(wèn)控制。因?yàn)楫?dāng)攻擊者來(lái)自網(wǎng)絡(luò)外部時(shí)，防火墻可以控制他對(duì)交換機(jī)的訪問(wèn)；當(dāng)攻擊者來(lái)自網(wǎng)絡(luò)內(nèi)部或者攻擊者獲得了訪問(wèn)內(nèi)部系統(tǒng)的權(quán)限而發(fā)起攻擊時(shí)，防火墻對(duì)此將無(wú)能為力。

【相關(guān)文章】

• 提高傳輸效率 三層交換及VLAN設(shè)置

• Cisco IOS多個(gè)VLAN中繼協(xié)議實(shí)現(xiàn)安全漏洞

• 交換機(jī)也需要網(wǎng)絡(luò)安全：交換機(jī)上的安全功能